智能合约安全——私有数据访问

最新推荐文章于 2024-08-31 19:45:21 发布
最新推荐文章于 2024-08-31 19:45:21 发布
阅读量222 收藏
点赞数
分类专栏: 智能合约 文章标签: 智能合约 安全 区块链 开发语言 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FingerNFT/article/details/126068846
版权
本文探讨了智能合约中的私有数据安全性问题,通过实例展示了如何访问合约中的私有数据,揭示了即使使用private关键字修饰,数据仍然可能被读取。总结强调不应在合约中存储敏感信息。
摘要由CSDN通过智能技术生成

这次我们将了解如何访问合约中的私有数据(private 数据)。

目标合约

话不多说,直接上代码

 这次我们的目标合约是部署在 Ropsten 上的一个合约。

合约地址:

0x3505a02BCDFbb225988161a95528bfDb279faD6b

链接:

https://ropsten.etherscan.io/address/0x3505a02BCDFbb225988161a95528bfDb279faD6b#code

漏洞分析

由上面的合约代码我们可以看到,Vault 合约将用户的用户名和密码这样的敏感数据记录在了合约中,我们知道合约中修饰变量的关键字仅限制其调用范围,这也就间接证明了合约中的数据均是公开的,可任意读取的,将敏感数据记录在合约中是不安全的。

读取数据

首先,让我们来学习一下solidity的 storage存储方式:

1)storage 中的数据被永久存储。其以键值对的形式存储在 slot 插槽中。

2)storage在插槽中数据从右向左排列,空间不足时&

最低0.47元/天 解锁文章
chainpip
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
智能合约随想——一些简单的Solidity智能合约漏洞/攻击
weixin_73794026的博客
04-25 954
一个没啥干货的Solidity智能合约审计随想,外加一些杂七杂八的知识,大佬们轻点喷QAQ
智能合约开发——TypeScript 基础(全)
1_bit 的博客
10-11 1541
在 ts 变量定中需要指定的这个变量类型,这个是跟 js 大有不同,又或者说这该指定类型贯穿了整个 ts。以上代码中定义了一个 age变量,类型为 number,赋值为 18,此时在变量名之后有一个冒号,冒号右侧就是对应的这个变量的类型,最终使用等于号赋值为 18。
Chainlink——PriceFeeds智能合约源码分析
llslinliansheng的博客
02-19 1228
Chainlink获取资产价格数据的链上合约分析
DAPP开发(三)——智能合约开发
coding...
05-15 916
storage类型的数据存在链上,类似计算机的硬盘,消耗gas多,memory和calldata类型的临时存储在内存里,消耗gas少。打开开发配置,下方advance高级配置可以指定扣钱的账户,如不指定,默认是第一个登录的账号扣钱,这里我们是account2,导入的ganache账户。internal:只能从当前合约或当前合约的派生合约访问,外部无法访问,由于它们没有通过合约的ABI向外部公开,所以他们可以接受内部类型的参数,比如映射或存储引用。局部变量的素具存储在内存,不上链,gas低,声明在函数内。
智能合约学习笔记——僵尸工厂(一)
m0_57291352的博客
10-17 2679
根据[CryptoZombies](https://cryptozombies.io/zh)学solidity 搭建僵尸工厂 第一部分的lesson1和lesson2部分的代码
以太坊智能合约 —— 最佳安全开发指南
laoerhan的专栏
07-17 1533
原文出处: https://github.com/ConsenSys/smart-contract-best-practices/blob/master/README-zh.md#%E4%BB%A5%E5%A4%AA%E5%9D%8A%E6%99%BA%E8%83%BD%E5%90%88%E7%BA%A6--%E6%9C%80%E4%BD%B3%E5%AE%89%E5%85%A8%E5%BC%8...
solidity 智能合约从入门到发币
涛哥的博客
01-14 1万+
solidity 从入门到发币
智能合约安全审计
摔不死的笨鸟的博客
07-23 556
区块链智能合约安全审计
以太坊智能合约 —— 最佳安全开发指南(附代码)
qiange520的专栏
05-18 3713
1基本理念以太坊和其他复杂的区块链项目都处于早期阶段并且有很强的实验性质。因此,随着新的bug和安全漏洞被发现,新的功能不断被开发出来,其面临的安全威胁也是不断变化的。这篇文章对于开发人员编写安全智能合约来说只是个开始。开发智能合约需要一个全新的工程思维,它不同于我们以往项目的开发。因为它犯错的代价是巨大的,并且很难像传统软件那样轻易的打上补丁。就像直接给硬件编程或金融服务类软件开发,相比于we...
EOS入门指南PART6——别忙着开发,先来看看智能合约数据是怎么存的
王铁塔的博客
08-21 894
上一章我们学习了开发智能合约之前需要知道的必要概念: 什么是webAssembly以及它在智能合约上下游中的位置; 什么是ABI以及怎样使用eosiocpp工具产生ABI和wasm、wast hello智能合约的简单入门:部署和调用 如果说智能合约开发是一个锁着门的图书馆,那么之前的学习就是钥匙。现在我们终于可以拿着钥匙打开大门,走进去一探究竟。 ...
论述《区块链智能合约的合同效力认定》去中心化金融的钞能力赛道
blockchainwmz的博客
06-06 1736
|没有喧嚣,没有问候的“沉默”,请安静听完这段征途故事! 合 “在博弈中平衡,在契合里寻找路径” 摘要 智能合约是自动执行合同条款的代码协议,其以代码替代传统人为执行合同,本质上是运用代码“编译”传统法律的“自然语言”合同,以代码自动执行缔约人合意的可操作性条款。随着区块链技术的日益普及,让更多人意识到基于区块链技术的智能合约的商业应用价值,而备受关注。但,智能合约的匿名性、不可撤销及自动执行的特性,有别于传统合同的订立与履行方式,在主体适格、责任认定及合同效力造成法...
网络空间安全——总结
热门推荐
LinYuan
09-10 1万+
1 绪论 课程目标: 系统而全面的了解网络空间安全方面的基础知识、认识安全隐患、掌握相应的防范方法、提高大家的安全意识。 课程重点: 勾勒网络空间安全的框架。 课程内容安排: 安全法律法规 物理设备安全 网络攻防技术 恶意代码及防护 操作系统安全 无线网络安全 数据安全 信息隐藏 隐私保护 区块链 物联网安全 密码学基础 网络空间安全概念由来 欧洲信息安全局:网络空间安全和信息安全概...
【基础知识】——1、区块链术语名词概览
Fly_鹏程万里
07-03 180
随着区块链技术的迅速发展,越来越多的人开始关注和研究这一领域,然而对于初学者来说区块链术语和名词繁多、复杂,很容易造成理解上的困惑,因此本文将为大家提供一个全面的区块链术语名词概览以帮助读者更好地理解和掌握区块链技术,无论是对于区块链初学者还是从业人员,本文都能为大家提供一份有用的参考资料。
智能合约开发与测试1
2401_84837659的博客
08-25 874
根据文档要求,编写太阳能板新增接口功能,必须将新增太阳能板数据存入指定表中,在存储完成后需触发后事件并返回存储与否的标识;根据文档要求,编写能源新增接口功能,必须将新增能源数据存入指定表中,在存储完成后需触发后事件并返回存储与否的标识;根据文档要求,编写太阳能板修改接口,必须通过指定表修改完成数据更新,在完成更新后需触发事件并返回更新与否的标识。根据文档要求,编写能源修改接口,必须通过指定表修改完成数据更新,在完成更新后需触发事件并返回更新与否的标识。调用太阳能板查询合约接口,完整验证业务流程;
智能合约漏洞(四)
Farrol的博客
08-29 1084
在前面的文章中,我们讨论了整数溢出/下溢和时间依赖漏洞。今天,我们将继续探讨智能合约中两种常见的安全问题:拒绝服务(Denial of Service, DoS)和恶意合约依赖漏洞。这些漏洞可能导致合约功能的中断或意外的恶意行为,了解这些问题有助于开发更加健壮的智能合约。拒绝服务(DoS)漏洞是一种攻击形式,旨在通过消耗目标系统的资源(如计算力、内存、Gas等),使目标系统无法正常提供服务。在智能合约中,DoS攻击可能导致合约函数被阻塞,无法执行,甚至导致整个合约失效。
证券行业加密业务安全风险监测与防御技术研究
qq_61863348的博客
08-27 1184
摘要:解决证券⾏业加密流量威胁问题、加密流量中的应⽤⻛险问题,对若⼲证券⾏业的实际流量内容进⾏调研分析, 分析了证券⾏业加密流量⾯临的合规性⻛险和加密协议及证书本⾝存在的⻛险、以及可能存在的外部加密流量威 胁,并提出防御策略和措施。关键字:证券加密业务、加密应用、加密流量、商用密码安全评估、加密风险、加密威胁、监测防御数据爆发式增长的DT(Data technology)时代,加密技术是数据传输的重要保护手段。随着互联网和企业内部流量场景的加密化趋势快速增长,证券行业也面临着更加迫切的加密需求。证券行业涉及
安全入门day.03
最新发布
mxxcxy的博客
08-31 689
Fiddler是一款强大的HTTP调试代理工具,它以代理服务器的形式工作,通过监听和记录HTTP(s)通讯,帮助用户检查、设置断点以及修改所有进出数据(如cookie、HTML、JS、CSS等文件)。Fiddler不仅简单易用,还提供了用户友好的界面和丰富的功能,如支持断点调试、请求构造、性能数据分析等,使得开发人员和测试人员能够轻松地进行Web调试和性能测试。此外,Fiddler还包含一个基于JScript .NET的事件脚本子系统,支持使用.NET框架语言进行扩展,进一步增强了其灵活性和功能性。
HarmonyOS(52) 使用安全控件SaveButton保存图片
菜鸟博客
08-30 474
SaveButton 安全控件说明
区块链驱动的智能合约在军队导弹业务中的设计与安全分析
智能合约允许开发人员根据业务需求编写个性化的协议,例如在部队航空导弹业务中,可以利用智能合约来自动化导弹登记、维护记录、授权访问等过程,提高管理效率。 文章以超级账本(Hyperledger Fabric)作为开发平台...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值